60 lines
4.2 KiB
Markdown
60 lines
4.2 KiB
Markdown
---
|
||
title: "CTP Topic 62 AWS Secrets Manager"
|
||
type: source
|
||
tags: []
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:AWS Secrets Manager 企业级密钥管理方案,包括选型对比、实施标准和落地案例
|
||
- 问题域:云转型过程中密钥安全存储与轮换的标准化治理
|
||
- 方法/机制:分阶段实施策略(集中化密钥 → 自动化获取 → 轮换);Lambda 函数驱动 Oracle 数据库密码轮换;SendGrid 集中邮件服务的密钥轮换方案;JDBC Wrapper + AWS SDK 无需应用感知密钥
|
||
- 结论/价值:AWS Secrets Manager 相比 HashiCorp Vault 成本更低、实施更简单,无需客户端;开发者无需直接访问密钥,通过角色和标签实现安全访问控制
|
||
|
||
## Key Claims(用中文描述)
|
||
- AWS Secrets Manager 比 HashiCorp Vault 更具成本效益,被选定为最终方案
|
||
- AWS Secrets Manager 易于实施,缺失功能可用多种语言自行开发
|
||
- 分阶段实施策略:集中化密钥 → 调整自动化获取 → 启动轮换
|
||
- 开发者无需直接访问密钥,密钥访问通过 IAM 角色控制
|
||
- Lambda 函数可执行 Oracle 数据库密码轮换,无需人工介入
|
||
- SendGrid 集中邮件服务实现 API 密钥轮换,无需应用重启
|
||
- AWS Secrets Manager 无需客户端软件(对比 HashiCorp Vault)
|
||
|
||
## Key Quotes
|
||
> "AWS Secrets Manager is easy and simple to implement. Missing features can be developed in multiple languages." — Nurit & Daniel
|
||
> "With that idea, developers actually do not need to have direct access to their Secrets." — Daniel
|
||
> "Secrets can be tagged for classification and access control. AWS Secrets Manager does not require clients, unlike HashiCorp Vault." — Victor(Demo)
|
||
|
||
## Key Concepts
|
||
- [[Secrets-Management(密钥管理)]]:云环境下集中存储、获取和轮换敏感凭证(密码、API 密钥、证书)的标准化实践
|
||
- [[AWS-Secrets-Manager]]:AWS 托管的密钥管理服务,支持密钥轮换、IAM 角色访问控制和标签分类,无需客户端软件
|
||
- [[Secret-Rotation(密钥轮换)]]:定期自动更新密钥的机制,AWS Secrets Manager 内置 Lambda 函数支持主流数据库和服务密钥轮换
|
||
- [[JDBC-Wrapper]]:JDBC 包装器封装数据库连接,通过 AWS SDK 从 Secrets Manager 动态获取凭证,应用无需硬编码密码
|
||
- [[AWS-Lambda]]:无服务器函数,用于执行 Oracle 数据库密码轮换等自动化任务
|
||
- [[SendGrid]]:云邮件服务,API 密钥轮换通过集中化 SMTP 服务实现,无需应用重启
|
||
|
||
## Key Entities
|
||
- [[Nurit]]:CTP Topic 62 主持人,AWS Secrets Manager 实施分享
|
||
- [[Daniel]]:CTP Topic 62 主持人,AWS Secrets Management Standard 文档作者,深度解析实施机会
|
||
- [[Victor]]:Demo 演示者,展示使用 JDBC Wrapper + AWS SDK 免密登录 Oracle 数据库
|
||
- [[AWS-Secrets-Manager]]:AWS 密钥管理服务,企业选型最终方案
|
||
- [[HashiCorp-Vault]]:密钥管理备选方案,POC 阶段对比后未被采用
|
||
- [[AWS-Control-Tower]]:AWS 多账户治理服务,密钥管理方案基于其环境实施
|
||
- [[SendGrid]]:邮件服务,API 密钥轮换通过集中化服务方案解决
|
||
|
||
## Connections
|
||
- [[ctp-topic-37-secrets-certificates-management]] ← relates_to ← [[ctp-topic-62-aws-secrets-manager]]
|
||
- [[ctp-topic-36-sendgrid-as-an-email-service]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]
|
||
- [[ctp-topic-61-workload-vpc-provision-with-ipam-automation]] ← depends_on ← [[AWS-Secrets-Manager]]
|
||
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]
|
||
|
||
## Contradictions
|
||
- 与 [[ctp-topic-37-secrets-certificates-management]] 存在覆盖范围差异:
|
||
- 冲突点:Topic 37 覆盖 Secrets 和 Certificates 两大类;Topic 62 仅聚焦 Secrets Management
|
||
- 当前观点:Topic 62 通过 AWS Secrets Manager 标准化 Secrets 管理,涵盖 Oracle DB 密码和 SendGrid API 密钥轮换
|
||
- 对方观点:Topic 37 认为密钥与证书管理应统一为同一标准框架
|
||
- 说明:两者可视为互补——证书管理(Certificates)由 Topic 37 覆盖,密钥管理(Secrets)由 Topic 62 深化
|